Da diverso tempo si è posata l’attenzione dei responsabili IT e di Automazione Industriale sul tema OT Security, ovvero come proteggere dal “rischio cyber” reti e sistemi di controllo di processo ed automazione di fabbrica.
Con l’avvento della cosiddetta convergenza OT-IT, spinta anche dalla digitalizzazione estesa in imprese industriali ma anche utility, secondo strategie di Industria 4.x, si è scoperto che le reti aziendali con accessi ad internet, e quindi anche tutto quanto connesso nei reparti produttivi/operativi, anche se protette, possono essere esposte ad incidenti informatici provocati da malware e ramsonware.
Da sempre, chi si occupa di Cyber Security e soprattutto di OT Security, predica la necessità di dotarsi di dispositivi di difesa schierati a strati (Defence in Depth, multi-layered defence strategy): questa strategia si basa sul concetto di avere diversi dispositivi di difesa attivi, di diverso tipo e con tecnologie differenti, puntando sulla tecnica di “sfiancare” eventuali attaccanti dalla rete e rendere quindi più complesso e costoso il raggiungimento di un eventuale obiettivo “più profondo”, ovvero dispositivi connessi sulla rete di fabbrica, PLC, SCADA, DCS, robot, ecc.
La maggior parte della infrastruttura di rete, viene si solito gestita e mantenuta direttamente dal reparto IT (Information Tecnology) dell’Azienda che spesso si interfaccia coi colleghi della IT-Security per tutte le esigenze di protezione.
A volte però la parte “più profonda” della rete, quella in fabbrica, la parte OT (Operation Tecnology), vive di processi e procedure differenti, e viene gestito da persone differenti, la cui maggiore preoccupazione è quella di seguire la produzione e fare in modo che impianti e macchinari funzionino e producano. Ecco quindi perché nasce la necessità di “difendere” dal rischio informatico in modo semplice ma efficace alcuni dei sistemi più importanti presenti in fabbrica: i PLC e gli HMI/SCADA che li gestiscono.
Sorge spontanea la domanda: “Ma devo proprio difendere questi dispositivi, anche se non sono connessi ad internet?”
Molti casi che abbiamo visto in questi ultimi anni ci hanno confermato che spesso la connessione c’è anche se non è censita/dichiarata.
Spesso la rete ove sono collegati i PC HMI/SCADA ed i PLC sono o sulla stessa rete fisica, o su una sottorete, che poi fa confluire dati ed informazioni ad altri PC o server che appartengono alla rete enterprise. Sempre più spesso si vedono connessioni con l’esterno per visualizzazione dati e manutenzione di macchinari ed impianti in fabbrica.
Standard industriali, come ad esempio IEC62443, predicano la segmentazione della rete di fabbrica in zone, onde permettere eventuali contenimenti di infezioni e segregazione di asset critici da difendere.
Ecco allora come siano benvenuti ed attesi dagli addetti ai lavori dispositivi e tool, come detto, semplici da installare e configurare e al tempo stesso efficaci per una protezione “locale” del pezzo di rete che vogliamo difendere, possibilmente appositamente studiati per lo scopo.
SCADAfuse di Bayshore Network nasce per questo: proteggere i PLC in una applicazione SCADA/PLC in rete.
Facile da installare, basta posizionarlo a valle o a monte dello switch al quale è o sono collegati i PLC.
Facile da configurare: conosce i protocolli utilizzati dai PLC, apprende da solo le connessioni ed il traffico tra PLC e PLC e tra PLC e PC/HMI/SCADA. Una volta “auto-istruito” inizia a segnalare se c’è qualcosa di sospetto da bloccare, evitando malfunzionamenti dovuti a incidenti informatici.
SCADAfuse per iFix, in modo analogo permette di proteggere le comunicazioni tra i diversi nodi SCADA in rete, pensato appositamente per HMI/SCADA Proficy iFix di GE Digital: riconosce automaticamente i sei protocolli utilizzati da iFix per le comunicazioni tra nodi SCADA e nodi View, e come il prodotto per le comunicazioni tra PLC e HMI/SCADA, protegge la rete dei nodi SCADA da traffico malevolo che potrebbe portare ad interruzioni operative.
A fianco uno schema di rete con protezione perimetrale e protezione “in depth” con SCADAfuse
SCADAfuse è la soluzione ottimale per OT Security per System Integrator e Costruttori di Impianti/Macchine che si trovino nella condizione di dover fornire un sistema basato su PLC/SCADA, e venga chiesto dal committente Utente Finale di connettere il sistema ad una pre-esistente rete di fabbrica o rete aziendale: si controlla infatti il traffico tra i PC nodi HMI/SCADA basati su iFix e tutto il traffico tra PLC e tra PLC e nodi HMI/SCADA, lasciando fuori da questa “sottorete” tutto il traffico non di pertinenza del sistema fornito.
In questo modo è possibile continuare a garantire l’integrità delle comunicazioni in rete e la protezione da rischi ed intrusioni di questa porzione di rete.
Qual’è il primo passo da fare? Un ASSET INVENTORY CERTAMENTE!
Vuoi scaricare gratuitamente quello creato da Bayshore? CLICCA QUI